Die Tabelle der Verbraucherzentrale wurde (im Gegensatz zum Text) noch nicht aktualisiert. Mich würde das Ergebnis eines aktuellen Tests der Verbraucherzentrale interessieren - aber egal, es gibt ja gute andere Übersichten und Messengervergleiche.
Dann hier zur Info die Antwort des Autors des Privacy-Handbuchs vom 18.05.2023 auf eine Anfrage:
• Anonym: Im Ku-Forum gibt es eine Diskussion über den Messenger Ginlo (deutsches Produkt). Was ist eure Meinung zur Sicherheit? Gleichwertig zu Signal?
• Antwort: Zur versprochenen Sicherheit der „Vollverschlüsselung“ kann man nichts sagen, weil die Kommunikations- und Verschlüsselungsprotokolle nicht veröffentlicht sind. Irgendwo steht, dass sie irgendwas mit AES und RSA machen. Das macht man seit 20 Jahren - eine nichtssagende Aussage.
Wenn im Handbuch steht, dass auf der Firewall Port 80 freigegeben werden muss für die Verifizierung von SSL Zertifikaten, werde ich stutzig. Verwenden die etwa das veraltete OCSP für Verifizierung von Zertifikaten? Kein Zertificate Pinning oder CA Pinning, wie es für gute Messenger heutzutage Best Practice ist?
Im Handbuch steht außerdem, dass Audio- und Videotelefonie irgendwie transportverschlüsselt ist. Aber welche Protokolle werden dafür verwendet? Es gibt keinen Hinweis im Handbuch, dass man die Verschlüsselung mit 4 Emoji oder Buchstaben verifizieren könnte, wie es bei guten Messengern üblich ist. Also anfällig für Man-in-Middle-Angriffe?
Es gibt keinen Desktop Client für private Nutzer - also keine Gleichwertigkeit zu Signal App hinsichtlich der Features. Was ist mit „Sealed Sender“? Ginlo bemüht sich, die Metadaten zu redizuieren - tja, aber wie konkret?
Der ebenfalls angeboteten Dateidienst für Premiumnutzer bietet 2-Faktor-Auth. mit SMS und OTP. Das ist der technische Stand von vor 6-10 Jahren. SMS sollte man nicht mehr verwenden und OTP bietet keine hohe Sicherheit. Keine modernen, sicheren Methoden zur 2-Faktor-Auth.
Die Client-Software ist Open Source - könte man sich anschauen. Da die Kommunikations- und Kryptoprotokolle nicht veröffentlicht sind, weiß man aber nicht, was der Code tun soll. Somit kann man auch nicht prüfen, ob der Code das tut was er tun sollte. Open Source funktioniert so nicht, dass man einfach seinen Code hinklatscht. Es beginnt mit einer Beschreibung, was man erreichen will und gegen welche Angriffe man schützen möchte (Whitepaper). Dann gibt es eine Beschreibung der Kommunikations- und Kryptoprotokolle und in der letzte Stufe kann man nachschauen, ob der Code auch wirklich das macht, was versprochen wurde (Audit). Dafür bräuchte man natürlich auch die Server.
Zusammenfassend: man kann eigentlich keine Bewertung abgeben. Nach meinem Eindruck würde ich Ginglo unter den 700+ bekannten Messengern irgendwo auf Platz 300…500 einordnen, auf keinen Fall gleichwertig zu Signal App. Keine besonderen Features für private Nutzer aber es gibt Anzeichen, dass die Krypto von Ginlo nicht auf dem Stand der Technik ist. Vielleicht als Nischenprodukt für irgendwen interessant, aber im PrHdb werde ich ihn nicht erwähnen.
[MOD]: Zitat-Formatierung und Quellen-Link ergänzt.